Kelola kata sandi untuk pengguna IAM - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola kata sandi untuk pengguna IAM

IAMpengguna yang menggunakan AWS Management Console untuk bekerja dengan AWS sumber daya harus memiliki kata sandi untuk masuk. Anda dapat membuat, mengubah, atau menghapus kata sandi untuk IAM pengguna di AWS akun Anda.

Setelah Anda menetapkan kata sandi untuk pengguna, pengguna dapat masuk ke AWS Management Console menggunakan login URL untuk akun Anda, yang terlihat seperti ini:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Untuk informasi selengkapnya tentang cara IAM pengguna masuk AWS Management Console, lihat Cara masuk AWS di Panduan AWS Sign-In Pengguna.

Sekalipun pengguna Anda memiliki kata sandi, mereka masih memerlukan izin untuk mengakses sumber daya AWS Anda. Secara default, pengguna tidak memiliki izin. Untuk memberi pengguna Anda izin yang mereka butuhkan, Anda menetapkan kebijakan untuk mereka atau ke grup yang mereka miliki. Untuk informasi tentang membuat pengguna dan grup, lihat IAMIdentitas . Untuk informasi tentang menggunakan kebijakan untuk mengatur izin, lihat Mengubah izin untuk pengguna IAM.

Anda dapat memberikan izin kepada pengguna untuk mengubah kata sandi mereka sendiri. Untuk informasi selengkapnya, lihat Izinkan IAM pengguna untuk mengubah kata sandi mereka sendiri. Untuk informasi tentang cara pengguna mengakses halaman login akun Anda, lihat Cara masuk AWS di Panduan AWS Sign-In Pengguna.

Membuat, mengubah, atau menghapus kata sandi IAM pengguna (konsol)

Anda dapat menggunakan AWS Management Console untuk mengelola kata sandi untuk IAM pengguna Anda.

Kebutuhan akses pengguna Anda dapat berubah seiring waktu. Anda mungkin perlu mengaktifkan pengguna yang dimaksudkan untuk CLI akses untuk memiliki akses konsol, mengubah kata sandi pengguna karena mereka menerima email dengan kredensialnya, atau menghapus pengguna saat mereka meninggalkan organisasi Anda atau tidak lagi memerlukan AWS akses.

Untuk membuat kata sandi IAM pengguna (konsol)

Gunakan prosedur ini untuk memberikan akses konsol pengguna dengan membuat kata sandi yang terkait dengan nama pengguna.

IAM console
  1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik Cara masuk AWS di Panduan Pengguna AWS Masuk.

  2. Di halaman Beranda Konsol, pilih IAM layanan.

  3. Di panel navigasi, pilih Pengguna.

  4. Pilih nama pengguna yang kata sandinya ingin Anda buat.

  5. Pilih tab Security credentials, lalu di bawah Console sign-in, pilih Aktifkan akses konsol.

  6. Di kotak dialog Aktifkan akses konsol, pilih Setel ulang kata sandi, lalu pilih apakah akan IAM membuat kata sandi atau membuat kata sandi khusus:

    • Untuk IAM membuat kata sandi, pilih Kata sandi yang dibuat otomatis.

    • Untuk membuat kata sandi kustom, pilih Kata sandi kustom, dan ketik kata sandi.

      catatan

      Kata sandi yang Anda buat harus memenuhi kebijakan kata sandi akun.

  7. Untuk meminta pengguna membuat kata sandi baru saat masuk, pilih Memerlukan perubahan kata sandi saat masuk berikutnya.

  8. Untuk meminta pengguna segera menggunakan kata sandi baru, pilih Cabut sesi konsol aktif. Ini melampirkan kebijakan sebaris ke IAM pengguna yang menolak akses pengguna ke sumber daya jika kredensialnya lebih lama dari waktu yang ditentukan oleh kebijakan.

  9. Pilih Setel ulang kata sandi

  10. Dialog kata sandi Konsol memberi tahu Anda bahwa yoiu telah mengaktifkan kata sandi baru pengguna. Untuk melihat kata sandi sehingga Anda dapat membagikannya dengan pengguna, pilih Tampilkan di kotak dialog Kata sandi konsol. Pilih Unduh file.csv untuk mengunduh file dengan kredensi pengguna.

    penting

    Untuk alasan keamanan, Anda tidak dapat mengakses kata sandi setelah menyelesaikan langkah ini, tetapi Anda dapat membuat kata sandi baru kapan saja.

Konsol menampilkan pesan status yang memberi tahu Anda bahwa akses konsol telah diaktifkan.

Untuk mengubah kata sandi untuk IAM pengguna (konsol)

Gunakan prosedur ini untuk memperbarui kata sandi yang terkait dengan nama pengguna.

IAM console
  1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik Cara masuk AWS di Panduan Pengguna AWS Masuk.

  2. Di halaman Beranda Konsol, pilih IAM layanan.

  3. Di panel navigasi, pilih Pengguna.

  4. Pilih nama pengguna yang kata sandinya ingin Anda ubah.

  5. Pilih tab Security credentials, lalu di bawah Console sign-in, pilih Kelola akses konsol.

  6. Di kotak dialog Kelola akses konsol, pilih Setel ulang kata sandi, lalu pilih apakah akan IAM membuat kata sandi atau membuat kata sandi khusus:

    • Untuk IAM membuat kata sandi, pilih Kata sandi yang dibuat otomatis.

    • Untuk membuat kata sandi kustom, pilih Kata sandi kustom, dan ketik kata sandi.

      catatan

      Kata sandi yang Anda buat harus memenuhi kebijakan kata sandi akun.

  7. Untuk meminta pengguna membuat kata sandi baru saat masuk, pilih Memerlukan perubahan kata sandi saat masuk berikutnya.

  8. Untuk meminta pengguna segera menggunakan kata sandi baru, pilih Cabut sesi konsol aktif. Ini melampirkan kebijakan sebaris ke IAM pengguna yang menolak akses pengguna ke sumber daya jika kredensialnya lebih lama dari waktu yang ditentukan oleh kebijakan.

  9. Pilih Setel ulang kata sandi

  10. Dialog kata sandi Konsol memberi tahu Anda bahwa yoiu telah mengaktifkan kata sandi baru pengguna. Untuk melihat kata sandi sehingga Anda dapat membagikannya dengan pengguna, pilih Tampilkan di kotak dialog Kata sandi konsol. Pilih Unduh file.csv untuk mengunduh file dengan kredensi pengguna.

    penting

    Untuk alasan keamanan, Anda tidak dapat mengakses kata sandi setelah menyelesaikan langkah ini, tetapi Anda dapat membuat kata sandi baru kapan saja.

Konsol menampilkan pesan status yang memberi tahu Anda bahwa akses konsol telah diperbarui.

Untuk menghapus (menonaktifkan) kata sandi IAM pengguna (konsol)

Gunakan prosedur ini untuk menghapus kata sandi yang terkait dengan nama pengguna, menghapus akses konsol untuk pengguna.

penting

Anda dapat mencegah IAM pengguna mengakses AWS Management Console dengan menghapus kata sandi mereka. Ini mencegah mereka masuk ke AWS Management Console menggunakan kredensi masuk mereka. Hal ini tidak mengubah izin mereka atau mencegah mereka mengakses konsol menggunakan peran yang diasumsikan. Jika pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows PowerShell AWS API, atau AWS Console Mobile Application.

IAM console
  1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik Cara masuk AWS di Panduan Pengguna AWS Masuk.

  2. Di halaman Beranda Konsol, pilih IAM layanan.

  3. Di panel navigasi, pilih Pengguna.

  4. Pilih nama pengguna yang kata sandinya ingin Anda hapus.

  5. Pilih tab Security credentials, lalu di bawah Console sign-in, pilih Kelola akses konsol.

  6. Untuk meminta pengguna berhenti menggunakan konsol segera, pilih Cabut sesi konsol aktif. Ini melampirkan kebijakan sebaris ke IAM pengguna yang menolak akses pengguna ke sumber daya jika kredensialnya lebih lama dari waktu yang ditentukan oleh kebijakan.

  7. Pilih Nonaktifkan akses

Konsol menampilkan pesan status yang memberi tahu Anda bahwa akses konsol telah dinonaktifkan.

Membuat, mengubah, atau menghapus kata sandi IAM pengguna ()AWS CLI

Anda dapat menggunakan AWS CLI API untuk mengelola kata sandi untuk IAM pengguna Anda.

Untuk membuat kata sandi (AWS CLI)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: aws iam get-login-profile

  2. Untuk membuat kata sandi, jalankan perintah ini: aws iam create-login-profile

Untuk mengubah kata sandi pengguna (AWS CLI)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: aws iam get-login-profile

  2. Untuk mengubah kata sandi, jalankan perintah ini: aws iam update-login-profile

Untuk menghapus (menonaktifkan) kata sandi pengguna (AWS CLI)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: aws iam get-login-profile

  2. (Opsional) Untuk menentukan kapan kata sandi terakhir digunakan, jalankan perintah ini: aws iam get-user

  3. Untuk menghapus kata sandi, jalankan perintah ini: aws iam delete-login-profile

penting

Ketika Anda menghapus kata sandi pengguna, pengguna tidak bisa lagi masuk ke AWS Management Console. Jika pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows PowerShell, atau panggilan AWS API fungsi. Saat Anda menggunakan AWS CLI, Alat untuk Windows PowerShell, atau AWS API untuk menghapus pengguna dari Anda Akun AWS, Anda harus terlebih dahulu menghapus kata sandi menggunakan operasi ini. Untuk informasi selengkapnya, lihat Menghapus IAM user ()AWS CLI.

Untuk mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan ()AWS CLI
  1. Untuk menyematkan kebijakan sebaris yang mencabut sesi konsol aktif IAM pengguna sebelum waktu yang ditentukan, gunakan kebijakan sebaris berikut dan jalankan perintah ini: aws iam put-user-policy

    Kebijakan inline ini menolak semua izin dan menyertakan kunci kondisi. aws: TokenIssueTime Ini mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan dalam Condition elemen kebijakan sebaris. Ganti nilai kunci aws:TokenIssueTime kondisi dengan nilai Anda sendiri.

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (Opsional) Untuk mencantumkan nama kebijakan sebaris yang disematkan di IAM pengguna, jalankan perintah ini: aws iam list-user-policies

  3. (Opsional) Untuk melihat kebijakan inline bernama yang disematkan di IAM pengguna, jalankan perintah ini: aws iam get-user-policy

Membuat, mengubah, atau menghapus kata sandi IAM pengguna ()AWS API

Anda dapat menggunakan AWS API untuk mengelola kata sandi untuk IAM pengguna Anda.

Untuk membuat kata sandi (AWS API)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, hubungi operasi ini: GetLoginProfile

  2. Untuk membuat kata sandi, hubungi operasi ini: CreateLoginProfile

Untuk mengubah kata sandi pengguna (AWS API)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, hubungi operasi ini: GetLoginProfile

  2. Untuk mengubah kata sandi, hubungi operasi ini: UpdateLoginProfile

Untuk menghapus (menonaktifkan) kata sandi pengguna (AWS API)
  1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: GetLoginProfile

  2. (Opsional) Untuk menentukan kapan kata sandi terakhir digunakan, jalankan perintah ini: GetUser

  3. Untuk menghapus kata sandi, jalankan perintah ini: DeleteLoginProfile

penting

Ketika Anda menghapus kata sandi pengguna, pengguna tidak bisa lagi masuk ke AWS Management Console. Jika pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows PowerShell, atau panggilan AWS API fungsi. Saat Anda menggunakan AWS CLI, Alat untuk Windows PowerShell, atau AWS API untuk menghapus pengguna dari Anda Akun AWS, Anda harus terlebih dahulu menghapus kata sandi menggunakan operasi ini. Untuk informasi selengkapnya, lihat Menghapus IAM user ()AWS CLI.

Untuk mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan ()AWS API
  1. Untuk menyematkan kebijakan sebaris yang mencabut sesi konsol aktif IAM pengguna sebelum waktu yang ditentukan, gunakan kebijakan sebaris berikut dan jalankan perintah ini: PutUserPolicy

    Kebijakan inline ini menolak semua izin dan menyertakan kunci kondisi. aws: TokenIssueTime Ini mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan dalam Condition elemen kebijakan sebaris. Ganti nilai kunci aws:TokenIssueTime kondisi dengan nilai Anda sendiri.

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (Opsional) Untuk mencantumkan nama kebijakan sebaris yang disematkan di IAM pengguna, jalankan perintah ini: ListUserPolicies

  3. (Opsional) Untuk melihat kebijakan inline bernama yang disematkan di IAM pengguna, jalankan perintah ini: GetUserPolicy